中小企业服务器ssh管理
发布时间:2014-09-05 15:19:51作者:知识屋
中小企业服务器ssh管理
今天经理让规划一下公司的ssh管理,已前都是用密码,现在想用密钥,并且要易于管理,安全性高,于是有了以下规划: www.zhishiwu.com
1.将一台服务器Pb1的ssh服务暴露到公网作为跳板机,更改ssh的端口为28888
2.Pb1认证方式改为密钥方式,关闭密码认证
3.对于其它服务器如server1来说,除了Pb1服务器ip可以ssh外,其它一律禁止,关闭密码认证,端口用默认22即可
4.Pb1上生成ssh密钥对,将用户公钥传到其它服务器,以后连接其它服务器须先连接到Pb1,然后再跳转过去,见下图
操作步骤:以用户root为例,假设Pb1: 192.168.12.83 server1:192.168.11.78 ,其它用户操作相同 www.zhishiwu.com
1.在xshell中生成密钥对
在tools中生成,步骤不再详述,将公钥复制到Pb1 root家目录的.ssh下的authorized_keys中
mkdir ~/.ssh
vi ~/.ssh/authorized_keys
ssh-dss AAAAB3NzaC1kc3MAAACBAJzgf3UtrQo8mrP7okdbuOUAojVhD8KAYnzvDkl7b4HcMXmdFnnAjD3J92gBrvh
mZgsz7YeVlL8/SafTyWZgH41gP9U/sFqNSG0n4XrdOHnDa0cGzO/0y0OLP+BoG/g3XfaeBYUrhcoInhJFomIla2bvDP
E+9c8Q0AbuwPmQ04kXAAAAFQDjtjgZn6Lmjh3/IHKjNLSXh9WPtQAAAIAfAAkGfGNJbVXwp/h4lzV4q9pqN3FkyS/
QEWonMlVBfWo0p6q72Z0UwScZ4PPpwVjDjTnGjGyhV/dxU7USUqPLqTwMbFHZvWpnVYwkqopijFjYaC1I4ofsGH9aO5
hOrcbb4qAKCXTf2ljD+iEfw5qawYDG8H1XD2/mEWsDp8SuQAAAIBIUMwx7mkMNSBy+DlQHEv2K2CB51Ziqelrswhx13
NeMcn17xwW5z6So4o2m01omAUcYrqodq+xR9H6WfauqqHbKDJGaZ1JzYWEl9au4an8F04zMKnGhQoXM7NARo82YROwR
fnax8gRkG8Y+3r7+IU3Yvvya0P24TZPNhuiwIlU/w== ##这是xshell生成的,复制过来的
2.编辑Pb1中的/etc/ssh/sshd_config 更改端口为 28888 关闭密在码认证
vi /etc/ssh/sshd_config
Port 28888
PasswordAuthentication no
Service sshd restart
3.连接Pb1测试能否正常连接
ssh 192.168.12.83
4.Pb1上成生密钥对,并复制到server1中
ssh-keygen -t rsa -P "" -f ~/.ssh/id_rsa
ssh-copy-id -i ~/.ssh/id_rsa.pub 192.168.11.78
ssh-copy-id -i ~/.ssh/id_rsa.pub 其它server IP
5.在Pb1上连接server1测试能否连接成功
ssh 192.168.11.78
6.关闭server1 .. serverN中的密码认证,添加iptables,再次测试
vi /etc/ssh/sshd_config
PasswordAuthentication no
service sshd restart
iptables -A INPUT -p tcp -s ! 192.168.12.83 --dport 22 –j DROP
或
vi /etc/hosts.allow
sshd:192.168.1.83
vi /etc/hosts.deny
sshd:ALL
为了防止pb1出现故障后不能正常连接其它服务器,应设置另外一台最好不在同一网络或地区中的服务器做备用。
Pb1脚本:
#!/bin/bash
# Author: LaoGuang
# Script Name: Pb.sh
# 2013/01/05 ibuler@qq.com
# Description:
# Set ssh Middle Server
serverip="192.168.11.78" ## one or some ip
port=28888
#Modify port and Authentication
sed -i 's/#/?Port .*/Port 28888/' /etc/ssh/sshd_config
sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
service sshd restart &>/dev/null
#Transfer key
if ! [ -e ~/.ssh/id_rsa.pub ] && [ -e ~/.ssh/id_rsa ];then
ssh-keygen -t rsa -P "" -f ~/.ssh/id_rsa &>/dev/null
fi
for i in $serverip
do
ssh-copy-id -i ~/.ssh/id_rsa.pub $i &>/dev/null ##这里其实写的不好,还有与用户互动
ssh $i "echo : $i success "
done
Server端脚本:
#!/bin/bash
# Author: LaoGuang
# Script Name: server.sh
# 2013/01/05 ibuler@qq.com
# Description:
# Set ssh Servers
sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
service sshd restart &>/dev/null
iptables -A INPUT -p tcp -s ! 192.168.12.83 --dport 22 -j DROP
(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
相关知识
-
linux一键安装web环境全攻略 在linux系统中怎么一键安装web环境方法
-
Linux网络基本网络配置方法介绍 如何配置Linux系统的网络方法
-
Linux下DNS服务器搭建详解 Linux下搭建DNS服务器和配置文件
-
对Linux进行详细的性能监控的方法 Linux 系统性能监控命令详解
-
linux系统root密码忘了怎么办 linux忘记root密码后找回密码的方法
-
Linux基本命令有哪些 Linux系统常用操作命令有哪些
-
Linux必学的网络操作命令 linux网络操作相关命令汇总
-
linux系统从入侵到提权的详细过程 linux入侵提权服务器方法技巧
-
linux系统怎么用命令切换用户登录 Linux切换用户的命令是什么
-
在linux中添加普通新用户登录 如何在Linux中添加一个新的用户
软件推荐
更多 >
-
1
专为国人订制!Linux Deepin新版发布2012-07-10
-
2
CentOS 6.3安装(详细图解教程)
-
3
Linux怎么查看网卡驱动?Linux下查看网卡的驱动程序
-
4
centos修改主机名命令
-
5
Ubuntu或UbuntuKyKin14.04Unity桌面风格与Gnome桌面风格的切换
-
6
FEDORA 17中设置TIGERVNC远程访问
-
7
StartOS 5.0相关介绍,新型的Linux系统!
-
8
解决vSphere Client登录linux版vCenter失败
-
9
LINUX最新提权 Exploits Linux Kernel <= 2.6.37
-
10
nginx在网站中的7层转发功能
